HUKUK & DANIŞMANLIK
KİŞİSEL VERİLERİN TÜRKİYE’DE ÜÇÜNCÜ KİŞİLERE, YURTDIŞINA AKTARILMASI
1. GENEL OLARAK
21. yüzyıl iş hayatında verinin önemi tartışmasızdır. Günümüzde dijital dönüşüm faaliyetlerine hız veren piyasa aktörleri, üzerinde tasarruf etme hakkına sahip oldukları her türlü veriyi, serbest piyasada rekabet avantajı sağlamak için kaçınılmaz olarak işlemekte ve iş yapma süreçlerine dahil etmektedir. Piyasa aktörleri arası rekabet her zaman arzu edilse ve son tahlilde tüketici menfaatine hizmet etse de söz konusu işleme faaliyetine kişisel veriler konu edildiğinde, piyasa menfaatleri ile kişi hak ve özgürlüklerinin korunması arasında bir denge gözetme ihtiyacı ortaya çıkmaktadır. Bahse konu bu denge kişisel verilerin korunmasına ilişkin hukuk düzenlemelerinde benimsenen ve kişisel verinin aktarılmasının da dahil olduğu temel ilkeler ve veri koruma koşullarında ifadesini bulmaktadır. Bu makalede kişisel verilerin Türkiye’de üçüncü kişilere ve yurtdışına aktarılması 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde inceleme konusu yapılacaktır.
-
VERİ İŞELEME FAALİYETİ OLARAK KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verilerin işlenmesi KVKK’nin Tanımalar başlıklı 3. (üçüncü) maddesinde Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, olarak belirtilmiştir. Kişisel verilerin aktarılması da veri işleme türlerinden biridir. Bunula birlikte kişisel verilerin aktarılmasına ilişkin hükümler yasada diğer veri işleme türlerinden ayrı olarak düzenlenmiştir.
-
KİŞİSEL VERİLERİN TÜRKİYE’DE ÜÇÜNCÜ KİŞİLERE AKTARILMASI
Kişisel verilerin yurtiçinde üçüncü kişilere aktarılması KVVK’nin Kişisel Verilerin Aktarılması başlıklı 8. (sekizinci) maddesinde düzenlenmiştir. Kanundan belirtilen ilkeler çerçevesinde işlenmek amacı ile elde edilen kişisel veriler ilgili kişinin açık rızası alınmak sureti ile Türkiye’de üçüncü kişilere aktarılabilir. Kişisel verilerin aktarılması bir kişisel veri işleme faaliyetidir ve KVKK kişisel verilerin işlenmesi ile aynı şartları kişisel verilerin Türkiye’de üçüncü kişilere aktarılması için de aramaktadır. Bu anlamda Kişisel veriler KVKK’nin 5. (beşinci) maddesinin 2. (ikinci) fıkrasında veya yeterli önlemler alınmak kaydı ile KVKK’nin 6. (altıncı) maddesinin 3. (üçüncü) fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın Türkiye’de üçüncü kişilere aktarılabilir. Özel nitelikli kişisel verilerin Türkiye’de üçüncü kişilere aktarılmasına ilişkin yeterli önlemlerin neler olduğunu Kişisel Verileri Koruma Kurulu belirler.
Yukarıdaki açıklamalarımız çerçevesinde, kişisel verilerin Türkiye’de üçüncü kişilere aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:
– İlgili kişinin açık rızasının alınması,
– Kanunlarda açıkça öngörülmesi,
– Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
– Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
– Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
– İlgili kişinin kendisi tarafından alenileştirilmiş olması,
– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
– İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Ayrıca özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir.
– İlgili kişinin açık rızasının alınması halinde,
– Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
– Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,
-
KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Kişisel verilerin yurtdışına aktarılması KVVK’nin Kişisel Verilerin Yurtdışına Aktarılması başlıklı 9. (sekizinci) maddesinde düzenlenmiştir. KVKK’de ilgili kişin açık rızası yoksa kişisel verinin yurtdışına aktarılması kural olarak yasaklanmıştır. Bununla birlikte ilgili kişinin açık rızası olmadan kişisel verilerin aktarılmasına imkân tanıyan KVKK 5. ve 6. Maddelerde belirtilen istisnalara ek olarak, kişisel verinin aktarılacağı ülkenin veri koruma düzenlemelerine ilişkin değerlendirmeler yapılması zorunludur; Bu anlamda kişisel verilerin aktarılacağı yabancı ülkede a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması zorunludur. Yeterli korumanın bulunduğu ülkeler Kurul tarafından ayrıca ilan edilecektir.
Yukarıdaki açıklamalarımız çerçevesinde, KVKK’nin 9. maddesine göre yurtdışına veri aktarımı;
– İlgili kişinin açık rızasının bulunması,
– Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
– Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması
durumlarında gerçekleştirilebilir.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.
İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.
A) Yeterli korumanın bulunması halinde
Kişisel veriler;
– Kanunlarda açıkça öngörülmesi,
– Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
– Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
– Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
– İlgili kişinin kendisi tarafından alenileştirilmiş olması,
– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
– İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
halinde yurtdışına aktarılabilmektedir.
Özel nitelikli kişisel veriler ise,
– Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecektir.
– Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurtdışına aktarılabilecektir.
Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilecektir.
B) Yeterli korumaya sahip olmayan ülkelere veri aktarımı için;
– Kanunun 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesi,
– Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
– Kurulun izninin bulunması gerekmektedir.